Entrée du Conseil d'EtatCrédits : Conseil d’État (CC BY 2.0)

Health Data Hub : le Conseil d’État rejette la suspension de la décision de la CNIL

Morsure du fouet

Avatar de l'auteur
Vincent Hermann

Publié dans

Droit

26/03/2024 7 minutes
7

Entrée du Conseil d'EtatCrédits : Conseil d’État (CC BY 2.0)

Le Conseil d’État a rejeté ce matin la demande faite par un groupement d’entreprises et associations. Ce dernier souhaitait l’intervention urgente du Conseil pour invalider la décision de la CNIL publiée le 31 janvier dernier. Le rejet a été motivé par un « défaut d’urgence ».

La situation actuelle n’a pas fini de faire parler. La Plateforme de données de santé (Health Data Hub ou HDH) a été autorisée en décembre à stocker dans Microsoft Azure les données françaises pour le projet EMC2. Ce dernier, européen, vise à concentrer un lot de données provenant de plusieurs pays dans lesquels un équivalent du HDH est déjà établi. Objectif : permettre enfin le décollage des utilisations secondaires des données, avec en tête la recherche via des modèles d’IA.

On se rappelle que le communiqué de la CNIL était rédigé d’une façon très particulière : la contrainte y était exprimée entre les lignes. Et pour cause : la décision de la Commission se faisait sur la loi, et cette dernière est claire, puisque le Data Privacy Framework établit une adéquation entre les États-Unis et l’Europe pour tout ce qui touche à la sécurité et au respect de la vie privée dans les données.

Cette décision avait largement fait réagir, notamment le député Philippe Latombe. « Ils n’ont pas eu le choix, encore une fois. Mais la décision laisse suffisamment de prise pour que tout le monde puisse la contester. Et je vous le promets : vous allez avoir, dans les jours qui viennent, des contestations de cette décision auprès du Conseil d’État. Vous n’imaginez même pas combien sont prêts », prophétisait-il alors.

Cela a pris un peu plus de temps que prévu, mais une demande a été formulée devant le Conseil d’État la semaine dernière. Portée notamment par Clever Cloud, Nexedi et Rapid.space, elle demandait un référé, c’est-à-dire une intervention urgente du Conseil pour faire suspendre la décision de la CNIL. Cette demande a été rejetée.

La décision du Conseil d’État

La décision du Conseil d’État souligne les points défendus par les demandeurs. On y retrouve tous les sujets abordés depuis la constitution du HDH et le début de stockage des données dans Azure. Dont le point principal : Microsoft est une société américaine, les États-Unis ont des lois à portée extraterritoriale, les données de santé françaises sont extrêmement sensibles et n’ont pas à être visualisées par des tiers.

Dans cette optique, la condition d’urgence ne pouvait être que satisfaite selon eux. D’abord parce que les données de santé de millions de Français pourraient se retrouver aux mains des services américains de renseignement. Ensuite, car la décision de la CNIL niait les offres existantes chez les sociétés requérantes.

Sur ces points et d’autres, le Conseil d’État n’est pas d’accord, et les requérants en sont pour leur grade. Il est notamment asséné aux sociétés ayant participé à la demande de référé que même en tenant compte de leurs arguments face à la fameuse mission d’expertise, dont le délai très court de préparation, elles n’auraient pas été en mesure de présenter des offres de services correspondant aux besoins du projet EMC2.

Elle note également que l’autorisation délivrée par la CNIL se limite à une durée de trois ans. Elle devrait permettre la migration des données vers des acteurs « répondant aux recommandations de la CNIL ». En outre, cette décision « ne fait nullement obstacle au développement de services d'hébergement de données en nuage susceptibles de répondre aux besoins de l'hébergement des données de santé sans être exposés aux risques liés à la soumission au droit d'un pays tiers ». En d’autres termes, la décision de la CNIL « n'est susceptible d'avoir qu'un impact indirect et limité sur les activités de ces sociétés ». Surtout en regard de l’intérêt général.

Autre point important, « l'entrepôt de données EMC2 a vocation à traiter, d'une part, des données issues des dossiers médicaux de 300 000 à 500 000 patients pris en charge chaque année dans quatre établissements hospitaliers, qui seront appariées aux données de la base principale du SNDS les concernant, d'autre part, les données concernant une population témoin d'environ 1,5 million de personnes, provenant de cette base ».

Aucun problème pour le Conseil d’État, puisque les données seront « pseudonymisées » (sic) par les établissements hospitaliers et par la Caisse nationale d'assurance maladie avant le versement des données dans l'entrepôt. Il pointe notamment que le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) et la date de naissance des patients seront supprimés.

Dernier gros point abordé, l’extraterritorialité du CLOUD Act. Là encore, le Conseil d’État doute que ce soit un problème : les demandes d’accès aux données doivent être validées par un juge pour les besoins d’une enquête pénale. Pour le Conseil, il n’y a pas de raison qu’une telle procédure concerne des données de santé françaises pseudonymisées. Même chose pour les demandes qui émaneraient des agences de renseignement. Les « garanties importantes dont la mise en œuvre du projet est entourée » sont jugées suffisantes.

En conséquence, la demande de référé est rejetée.

Soupe à la grimace

La décision a provoqué de la frustration chez les uns, de l’incompréhension chez les autres, tandis que d’autres encore, à l’instar de Maître Alexandre Archambault, ne sont pas surpris.

Pour Jean-Baptiste Soufron, avocat des requérants, il en va tout autrement. « Comme toujours, le Conseil est extrêmement sévère sur l’opportunité de le saisir pour mettre fin en urgence à une atteinte aux libertés publiques. Mais là quand même… visiblement, 2 millions de personnes concernées à partir du mois de mai, et 6 millions de personnes dans trois ans, ne suffiraient pas à justifier l’urgence », critique-t-il sur X. Il note tout particulièrement l’utilisation du terme « pseudonymisation », là où existait avant une « anonymisation ».

Il ajoute que la demande continuera sur le fond (comme confirmé par Quentin Adam, CEO de Clever Cloud), mais que cette procédure n’aboutira que l’année prochaine. « La situation en sera d’autant plus difficile à renverser ».

Pour Bruno Grieder, expert en cryptographie et CEO de Cosmian, il y a un sérieux problème sur la sécurité des données. Contacté, il nous a expliqué que des données anonymisées ou – pire – pseudonymisées ne sont en rien une garantie d’anonymat. « Les États-Unis le savent depuis les années 90. Ils avaient eu de gros problèmes avec ça. Une étudiante, Latanya Sweeney, avait réussi à recouper des données anonymisées et d’autres publiques, et avait notamment retrouvé William Weld, gouverneur à l’époque du Massachussetts ».

L’étudiante est devenue par la suite professeure à Harvard et a participé à la rédaction de la loi américaine HIPAA (Health Insurance Portability and Accountability Act). Ce texte oblige entre autres les données anonymisées à être regroupées par groupes de dix personnes, « pour ajouter du bruit », nous précise Bruno Grieder. « Il n’y a de toute façon aucune difficulté particulière à reconstituer l’identité des personnes, dès lors que les données sont assez nombreuses ». Or, avec les mentions explicites du NIR et de la date de naissance comme données supprimées, la question reste ouverte sur celles qui seront versées au dépôt EMC2.

Nous reviendrons prochainement sur la question des données anonymisées et la sécurité relative qu’elles peuvent offrir.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

La décision du Conseil d’État

Soupe à la grimace

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Fermer

Commentaires (7)


Qu'elle surprise...
Le concept d'urgence n'est pas le même pour tout le monde. :craint:
Décision assez logique en référé.

Lors de l'article précédent, je n'arrivais pas à retrouver si les données étaient bien pseudonymisées. Comme c'est le cas, même si ce n'est pas parfait, ce n'est pas étonnant que ça soit considéré comme suffisant par le Conseil d'État faute d'argumentation précise des requérants pour démontrer que cette mesure ne suffisait pas pour protéger l'identité des personnes.

Il faut donc attendre la décision au fond et l'éventuelle annulation par la CJUE du dernier accord sur la protection des données avec les USA.
C'est logique en référé, surtout qu'il n'y a à ce jour aucune donnée envoyée, donc un rejet sur la caractérisation de l'urgence aurait eu du sens ; là, ce qui est plus problématique, c'est que l'argumentaire est totalement aveugle aux problématiques de fond...

KaraMan

C'est logique en référé, surtout qu'il n'y a à ce jour aucune donnée envoyée, donc un rejet sur la caractérisation de l'urgence aurait eu du sens ; là, ce qui est plus problématique, c'est que l'argumentaire est totalement aveugle aux problématiques de fond...
Pas nécessairement. En particulier, tu peux considérer qu’à partir du moment où la donnée a été envoyée, c’est trop tard. Donc de ce point de vue, l’urgence est plutôt à s’assurer qu’aucune donnée n’y parte.
" les demandes d’accès aux données doivent être validées par un juge pour les besoins d’une enquête pénale. Pour le Conseil, il n’y a pas de raison qu’une telle procédure concerne des données de santé françaises pseudonymisées. Même chose pour les demandes qui émaneraient des agences de renseignement. Les « garanties importantes dont la mise en œuvre du projet est entourée » sont jugées suffisantes"

la garantie serait que l'hébergeur soit français/européen.
OVH, Infomaniak, Clever Cloud.
Le recours à un juge n'est pas suffisant comme garantie, puisque les législations américaine et française ne sont pas les mêmes.
Ex: l'avortement.